如何保障Android開(kāi)放環(huán)境的安全性

　　為了實(shí)現與互聯(lián)網(wǎng)的融合，家電采用Android的步伐正在不斷加快。對于開(kāi)發(fā)家電設備的廠(chǎng)商而言，索尼的信息泄露事件是一個(gè)反面教師。企業(yè)不僅要探索與黑客和平共處的道路，還要為系統配備多重防御功能。

　　電視、車(chē)載導航儀、電子書(shū)……目前，各種家電都在不斷采用開(kāi)放式嵌入軟件開(kāi)發(fā)平臺。其中，備受關(guān)注的是Android。其原因是，“只要打算比以往更加強化與互聯(lián)網(wǎng)服務(wù)的聯(lián)動(dòng)功能，自然會(huì )將Android作為選項之一”（日本嵌入系統開(kāi)發(fā)商Eflow開(kāi)發(fā)本部統括部長(cháng)金山二郎）。

　　對于打算為家電配備Android的廠(chǎng)商而言，“PlayStation Network（PSN）”及“Qriocity”遭受的非法攻擊事件并非事不關(guān)己。這是因為家電采用Android之后，可以實(shí)現“與互聯(lián)網(wǎng)服務(wù)的緊密聯(lián)動(dòng)”以及“通過(guò)安裝應用軟件（以下稱(chēng)應用）來(lái)追加新服務(wù)的環(huán)境”，這些均與PlayStaiton 3（PS3）相同。所以即使發(fā)生索尼相同的情況也不足為奇，包括DRM機制被暴露無(wú)遺，或與服務(wù)器的通信方法及密碼被泄露，導致服務(wù)器遭到非法訪(fǎng)問(wèn)等。

　　要防止此類(lèi)事件發(fā)生，需要吸取索尼信息泄露事件的教訓。也就是說(shuō)，關(guān)鍵在于避免重復索尼犯過(guò)的錯誤，包括“以整個(gè)黑客社區為敵”，以及“安全方面完全依賴(lài)于PS3的機制”（圖1）。反過(guò)來(lái)說(shuō)，如果今后采取兩手行動(dòng)，即“與黑客社區建立協(xié)調的關(guān)系”以及“無(wú)論安全機制多么強大，也都做好遲早會(huì )被攻破的準備，采取多重安全措施”，那么就很有可能避免發(fā)生關(guān)系到公司存亡的事件。

　　Androidでどう築くオープン環(huán)境の安全性

　　不僅要盡量與黑客社團建立良好的關(guān)系，還需要對不能泄露的重要信息進(jìn)行多重防御。

　　目標是與黑客和平共處

　　第一個(gè)要點(diǎn)是避免與黑客對立，要做到這一點(diǎn)，必須了解黑客的想法，摸索出與之和平共處的方法。

　　索尼對黑客始終采取“PS3是我們?yōu)樘峁┓?wù)而銷(xiāo)售的產(chǎn)品，當然應由我們控制”的態(tài)度。但是，PS3用戶(hù)中有不少人則認為“如何使用自己花錢(qián)購買(mǎi)的商品是個(gè)人的自由”。索尼在不了解與用戶(hù)思維差異的情況下采取了強硬手段，導致事態(tài)發(fā)展到了雙方觀(guān)念對立的地步。

　　要避免事情發(fā)展到觀(guān)念對立的程度，關(guān)鍵在于廠(chǎng)商的相關(guān)人員要定期與黑客社區對話(huà)，在一定程度上尊重對方的意見(jiàn)，并在此基礎上開(kāi)發(fā)產(chǎn)品?！?span id="wwytoo5" class=hrefStyle>網(wǎng)絡(luò )入侵是一種特殊才能，并不是任何人都能掌握。需要盡早發(fā)現這種才能，盡量將具備這種能力的人拉進(jìn)自己的陣營(yíng)，以防其采取出格的行動(dòng)”（日本青山學(xué)院大學(xué)研究員山根信二）。

　　采取多重防御措施

　　另一個(gè)要點(diǎn)是“多重防御”，在以受到攻擊為前提而進(jìn)行防御時(shí)，這種思維方式十分重要。具體做法是，即便第一道屏障被攻破，也要準備第2道乃至第3道屏障，以防遭到?jīng)Q定性破壞。

　　在開(kāi)發(fā)采用Android的家電時(shí)，這種思維尤為重要。其原因是，采用開(kāi)放式平臺，“任何人都可以可輕松獲取設計信息并構建調試環(huán)境，網(wǎng)絡(luò )入侵也會(huì )更加容易”（Eflow的金山）（圖2）。

　　圖2：開(kāi)發(fā)環(huán)境從黑箱轉向開(kāi)放

　　采用開(kāi)放式開(kāi)發(fā)環(huán)境時(shí)，硬件及軟件開(kāi)發(fā)會(huì )簡(jiǎn)化，但遭到網(wǎng)絡(luò )攻擊的風(fēng)險也會(huì )提高。

　　其實(shí)，先于家電商采用Android平臺的手機制造商在介紹Android手機的不同時(shí)表示，“傳統手機可以通過(guò)產(chǎn)品與軟件安裝的自主性確保安全，而配備Android的智能手機因OS的信用問(wèn)題，不得不考慮安全保障問(wèn)題”（NTT DoCoMo智能通信服務(wù)部安全推進(jìn)擔當部長(cháng)柳澤隆治）。

　　防止管理員權限被剝奪

　　那么，采用Android時(shí)必須考慮哪些問(wèn)題呢？

　　最初應該考慮的是，防止管理員權限被剝奪，以免設備驅動(dòng)程序及OS的程序庫等系統文件遭到篡改。如果系統文件被篡改的話(huà)，便會(huì )以此為起點(diǎn)使得系統遭到破解（圖3）。

　　圖3：管理員權限被奪取時(shí)的問(wèn)題點(diǎn)

　　在內部進(jìn)行交換的絕大部分數據都有可能被盜取。而且，還可能會(huì )嵌入非法應用。加密文件等也會(huì )被打開(kāi)。

　　雖然以上這些都是嵌入設備曾經(jīng)考慮過(guò)的攻擊，但以往的產(chǎn)品除了平臺本身黑箱化之外，還有很多防止從外部追加應用的限制，所以不易成為攻擊對象。而Android的文件構成是被公開(kāi)的，可隨意追加應用，因此容易進(jìn)行攻擊。

　　Android只給用戶(hù)提供了用戶(hù)權限，本來(lái)是無(wú)法更改系統文件的。但如果Linux的內核、程序庫及驅動(dòng)程序等存在可將用戶(hù)權限提高至管理員權限的“升級（Escalation）”漏洞的話(huà)，那就需要另當別論了。只要編寫(xiě)用來(lái)攻擊該漏洞的應用，并在A(yíng)ndroid上運行，便可奪取管理員權限。

　　解決這一問(wèn)題的方法是，發(fā)現漏洞時(shí)及時(shí)用補丁堵上。但這并不是一件簡(jiǎn)單的事情。這是因為Android的源碼被提供給廠(chǎng)商，安裝工作由廠(chǎng)商完成。漏洞信息的收集以及安裝補丁后的運行驗證等工作也必須由廠(chǎng)商自行完成。

　　有一組數據可以清楚地揭示這項工作的困難程度。這就是日本信息處理推進(jìn)機構（IPA）2011年6月公開(kāi)的“智能手機面臨的威脅及對策”報告。該報告對利用Linux內核等的漏洞奪取管理員權限的惡意軟件“Droid Dream”是否已經(jīng)感染了投放市場(chǎng)的智能手機進(jìn)行了調查。Droid Dream可利用兩個(gè)漏洞。盡管這兩個(gè)漏洞已分別于2009年4月及2010年8月公開(kāi)，但截至2011年3月，調查的14款手機中尚有11款沒(méi)有設置完善的對策（表1）。

　　表1：IPA調查的“Droid Dream”應對情況

　　Droid Dream可利用Linux內核與Android構件兩種漏洞之一奪取管理員權限，該表將堵住其中一項漏洞的機型標記為“部分應對”。

　　就連由安全意識較高的企業(yè)生產(chǎn)的智能手機也是如此。其他家電設備采用Android的話(huà)，能否及時(shí)提供補丁還存在疑問(wèn)。家電需要采用的機制是，漏洞遭到攻擊時(shí)要防止管理員權限被剝奪，或者管理員權限被剝奪時(shí)要防止安全上的重要部分被破解。

　　Java可輕松進(jìn)行反匯編

　　除了要防止管理員權限被剝奪之外，還有其他問(wèn)題需要注意。那就是程序文件或設置文件被破解，遭到非法復制，或者關(guān)系到服務(wù)根基的重要算法及數據被發(fā)現。

　　這種問(wèn)題已在智能手機上越來(lái)越嚴重。日本開(kāi)發(fā)商編寫(xiě)的游戲應用被隨意翻譯成漢語(yǔ)銷(xiāo)售，更糟糕的是，還被植入惡意軟件并發(fā)放給用戶(hù)（圖4）。

　　圖4：在應用中嵌入惡意軟件的方法

　　通過(guò)Android應用商店購買(mǎi)正規應用，通過(guò)反匯編植入惡意代碼。

　　上面介紹的Droid Dream也是采用這種方法制作出來(lái)的惡意軟件。Android網(wǎng)上商店銷(xiāo)售的應用被隨意更改，并植入了可奪取管理員權限并盜取用戶(hù)個(gè)人信息的程序。

　　熟悉軟件非法復制情況的專(zhuān)家表示，“盡管Android一般以Java編寫(xiě)內容，但通過(guò)反匯編進(jìn)行篡改，然后再次進(jìn)行數據包處理也是十分簡(jiǎn)單的事情”（日本HyperTech代表董事小川秀明）。也就是說(shuō)，如果不做好程序被破解的準備而采取措施的話(huà)，任何企業(yè)都存在陷入危機的可能性。

　　更改系統也沒(méi)有效果

　　有些廠(chǎng)商采取的措施是在采用Android等開(kāi)放性軟件平臺的同時(shí)，通過(guò)限制功能，來(lái)保護程序或信息免受網(wǎng)絡(luò )入侵。不過(guò)，安全專(zhuān)家警告稱(chēng)，“不應采取這種方法”（日本LAC董事兼最高技術(shù)負責人西本逸郎）。

　　如果采用了開(kāi)放性平臺，又打算將其“封閉”起來(lái)的話(huà)，反而會(huì )激發(fā)黑客“希望自由使用”的愿望。而且，“既然原本是開(kāi)放性系統，那么很容易推測出內部構造來(lái)，封閉的效果有限”（西本）。

　　以美